El fraude provoca una oleada de nuevas normativas financieras: lo que los responsables de seguridad deben saber
Cuando la pandemia de COVID-19 se extendió por todo el país la pasada primavera y las comunidades se bloquearon, las empresas de todos los sectores se apresuraron a transformarse digitalmente para poder seguir atendiendo a sus clientes a través de los canales digitales y apoyar a los trabajadores a distancia. Incluso los sectores más regulados, como los servicios financieros, actuaron con rapidez. Los bancos se apresuraron a adoptar nuevas tecnologías, como la biometría, la verificación digital de la identidad, la notarización remota en línea y otras, para modernizar sus procesos y garantizar que los estadounidenses pudieran seguir accediendo a su dinero durante este momento crítico.
Sin embargo, esta prisa por digitalizar los procesos y servicios expuso las vulnerabilidades de nuestro sistema financiero y su infraestructura tecnológica subyacente. Los ciberdelincuentes y los defraudadores consideraron que los billones de dólares de estímulo económico, la ampliación de las prestaciones por desempleo y los fondos de ayuda para la pandemia que se estaban vertiendo en el sistema financiero eran una bendición. Se abalanzaron para conseguir su parte del pastel y, como resultado, el fraude se disparó. Los ataques de ciberseguridad dirigidos al sector financiero aumentaron un 238% durante la pandemia, el fraude de toma de cuentas ha crecido un 72% y los bancos han informado de un aumento de siete veces en la actividad de préstamos empresariales sospechosos. En septiembre de 2020, en una presentación en el Fed ID Forum, la Red de Ejecución de Delitos Financieros (FinCen) del Departamento del Tesoro de EE.UU. expuso cómo los delincuentes se aprovechan de los puntos débiles de la identidad para cometer más de mil millones de dólares en ciberdelitos cada mes. Numerosos gobiernos estatales se vieron afectados por reclamaciones masivas de desempleo fraudulentas por valor de 36.000 millones de dólares en 2020, según USA Today.
Esta oleada de fraudes atrajo, con razón, la atención de los legisladores y de los reguladores federales que impulsan un tsunami de nuevas normativas destinadas a proteger mejor los datos de los consumidores en línea y a permitir un comercio digital más seguro. Los profesionales de la seguridad y de las tecnologías de la información que trabajan en el sector financiero -e incluso los de otros sectores- deben estar al tanto de las próximas normativas y políticas que pueden entrar en vigor este próximo año. A continuación se presentan algunas de las normativas más importantes que probablemente afectarán a sus estrategias de ciberseguridad y TI, y lo que debería hacer ahora para prepararse.
Requisitos estrictos para la verificación de la identidad digital
El fraude generalizado que supuso la ley de ayuda anticipada puso de manifiesto que Estados Unidos carece de un marco federal en torno a las identidades digitales. Una estrategia global y nacional para las identidades digitales y la forma de verificarlas ayudaría a proteger a los estadounidenses del robo de identidad y del fraude en línea. En cambio, años de violaciones de datos a gran escala han garantizado que la mayoría de los estadounidenses ya tienen su información personal identificable (PII) vendida o intercambiada en la Dark Web. Esto significa que los métodos tradicionales de los bancos y otras instituciones, conocidos como verificación basada en el conocimiento (KBV), utilizados para verificar la identidad de una persona al abrir una nueva cuenta, son inútiles. El fraude de identidad sintética -el proceso de juntar información de identificación personal robada, como un número de la seguridad social, con datos ficticios para crear una nueva identidad- se ha convertido en el tipo de delito financiero de más rápido crecimiento en Estados Unidos. El problema nunca ha sido más urgente que durante la pandemia. Mientras el gobierno federal inyectaba dinero en el sistema financiero, los bancos y los gobiernos estatales se vieron obligados a congelar las cuentas y el acceso a los fondos durante semanas, mientras se esforzaban por verificar las identidades de los consumidores en los canales digitales y discernir las reclamaciones legítimas de las fraudulentas.
En el futuro, se espera que tanto las instituciones financieras como los organismos públicos refuercen sus procesos de verificación de la identidad digital mediante nuevas tecnologías y técnicas. Bajo la nueva Administración Biden, espero que veamos la reencarnación de algunas iniciativas de la era Obama, empezando por un plan para mejorar la verificación de la identidad digital. El gobierno de Obama había trabajado para desarrollar la Estrategia Nacional para las Identidades de Confianza en el Ciberespacio (NSTIC), pero nunca llegó a tener el impulso previsto. Ahora, tras los efectos de la pandemia, asistimos a un interés mucho más bipartidista por este tema. El año pasado, el Congreso presentó la Ley bipartita de Mejora de la Identidad Digital. Aunque el proyecto de ley murió al final de la última sesión del Congreso, sus copatrocinadores, el congresista Bill Foster (demócrata de Illinois) y John Katko (republicano de Nueva York), anunciaron a principios de este mes que se volverá a presentar en el primer trimestre de este año. Si se convierte en ley, el proyecto creará un grupo de trabajo dentro de la oficina ejecutiva del presidente. La misión de este grupo de trabajo es crear una estrategia unificada que abarque los niveles federal, estatal y local para métodos seguros e interoperables que puedan ser utilizados por los sectores público y privado para la verificación de la identidad digital.
El proyecto de ley aprovecha el informe de 2018 de The Better Identity Coalition, Better Identity in America: A Blueprint for Policymakers, que, entre otras cosas, recomienda que las agencias gubernamentales están mejor posicionadas tanto a nivel estatal a través de los Departamentos de Vehículos Motorizados como a nivel federal a través de la Administración de la Seguridad Social (SSA) para ofrecer nuevos servicios de identidad a los consumidores.
Ya se están haciendo algunos progresos en este ámbito. La SSA ha lanzado recientemente su servicio de verificación electrónica del número de la Seguridad Social basada en el consentimiento (eCBSV) para ayudar a las instituciones financieras a reducir el riesgo de fraude de identidad sintética durante el proceso de apertura de nuevas cuentas.
Los profesionales de la seguridad y de las tecnologías de la información de las instituciones financieras deberían empezar a reforzar sus procesos de verificación de la identidad digital ahora mismo. Comience por integrar el servicio eCBSV en su proceso de solicitud de nuevas cuentas. Asimismo, consulte las últimas Orientaciones sobre la identidad digital publicadas por el Grupo de Acción Financiera Internacional (GAFI), que detallan las mejores prácticas que deben seguir los bancos y describen cómo las instituciones financieras pueden recurrir a terceros para cumplir los requisitos de verificación de la identidad en los canales digitales.
Nuevas protecciones para los identificadores biométricos
Cuando las ciudades se cerraron y los consumidores se quedaron en casa, la popularidad de la banca móvil se disparó durante la pandemia. Para ofrecer una experiencia móvil más cómoda, muchos bancos han empezado a utilizar la biometría, como el escaneo de huellas dactilares y el reconocimiento facial, para la autenticación de los usuarios cuando inician sesión en sus aplicaciones bancarias móviles. El aumento espectacular del uso de la biometría ha llamado la atención sobre la necesidad de una ley nacional que regule el modo en que las empresas recogen, almacenan y protegen los datos biométricos de los consumidores.
A finales del año pasado, el Senado de EE.UU. presentó varios proyectos de ley relacionados con la privacidad de los datos, entre ellos la Ley Nacional de Privacidad de la Información Biométrica, que, de ser promulgada, creará nuevas obligaciones para las empresas que utilicen los identificadores biométricos de los consumidores. Entre otras cosas, prohibiría a las empresas recopilar datos biométricos, como huellas faciales, dactilares, escáneres de retina y huellas vocales, sin obtener previamente un consentimiento explícito. Las empresas también estarían obligadas a proteger los identificadores biométricos de la misma manera que protegen otros datos personales sensibles, como los números de la Seguridad Social. También introduce sanciones monetarias en caso de incumplimiento.
Los equipos de seguridad que trabajan para cualquier empresa que utiliza la biometría para la autenticación de usuarios deben asegurarse de que siguen las mejores prácticas para proteger y almacenar esos datos. Fíjese en los marcos que están desarrollando la Alianza FIDO y el Instituto Nacional de Normas y Tecnología (NIST). Pronto podrían adoptarse a nivel nacional, por lo que asegurarse de seguir sus recomendaciones ahora le pondrá un paso por delante cuando se introduzca la normativa. Además, esté atento a las directrices actualizadas sobre la autenticación en la banca por Internet del Consejo Federal de Examen de las Instituciones Financieras (FFIEC), que llegarán a finales de este año y que probablemente incluyan nuevas directrices sobre la autenticación biométrica
Los profesionales de la seguridad en el sector financiero, especialmente, deben planificar la modernización de su enfoque de la autenticación multifactor para combatir el actual aumento del fraude. Al integrar tecnologías avanzadas como el análisis de riesgos en tiempo real impulsado por la inteligencia artificial (IA) y el aprendizaje automático, los bancos pueden identificar el fraude en el momento en que se produce, gracias a la supervisión continua. Pueden crear un enfoque de múltiples capas para la autenticación multifactor que desencadena pasos de autenticación adicionales cuando se detecta un riesgo.
Ley Federal de Protección de Datos de los Consumidores
Al igual que Estados Unidos ha carecido de un marco nacional para las identidades digitales, también hemos carecido de cualquier tipo de ley integral a nivel federal que regule la protección de los datos de los consumidores. Mientras que la Unión Europea cuenta con el Reglamento General de Protección de Datos (RGPD) desde 2016, y varios otros países de todo el mundo han promulgado leyes similares en los últimos años, Estados Unidos sigue dependiendo de un mosaico de leyes estatales y normas específicas del sector. La incoherencia de las normas relativas a la privacidad y la protección de los datos de los consumidores da lugar a agujeros y a prácticas de seguridad deficientes que dejan a los consumidores vulnerables a las violaciones de datos y al robo de identidad. Esto podría cambiar finalmente en 2021. El año pasado, el Senado de Estados Unidos presentó varios proyectos de ley sobre privacidad de datos, entre ellos la Ley de Protección de Datos de 2020, que crearía una agencia federal de protección de datos e impondría multas a las empresas que no protejan adecuadamente los datos de sus clientes. El proyecto de ley languideció bajo el gobierno anterior, pero espero que este año lo veamos junto con otros proyectos de ley relacionados con la privacidad y la protección de datos, empaquetados y aprobados.
Algunos profesionales de la seguridad pueden estar trabajando en organizaciones que ya están cumpliendo con el GDPR y o la Ley de Privacidad del Consumidor de California (CCPA). Si este es el caso, es probable que esté bien posicionado para cualquier nueva ley de privacidad y protección de datos del consumidor que pueda venir, ya que probablemente estará estructurada de manera similar. Sin embargo, aquellos que actualmente no necesitan cumplir con el GDPR o la CCPA deben comenzar a buscar establecer los mismos procesos y marcos en sus organizaciones. También puede consultar la reciente Ley de Derechos de Privacidad de California (CPRA) y la Ley Stop HACKS y de Mejora de la Seguridad de los Datos Electrónicos (SHIELD) de Nueva York como ejemplos de lo que puede esperar al planificar sus estrategias de protección de datos
Estos son sólo algunos de los muchos reglamentos, normas y propuestas legislativas nuevas y actualizadas que se extenderán por la industria de los servicios financieros y otros sectores. En lugar de que les pille desprevenidos y tengan que ponerse al día, los profesionales de la seguridad y la informática deberían empezar a planificar ahora. Evaluar y aplicar nuevas tecnologías que refuercen la seguridad en torno a las identidades digitales, los datos de los consumidores, la autenticación de los usuarios y la detección del fraude. Busque las mejores prácticas y marcos establecidos cuando desarrolle nuevos procesos o digitalice los servicios por primera vez. Y, por último, invierta en la formación de los empleados en materia de seguridad de los datos, riesgos y cumplimiento de la normativa. Tomar estas medidas ahora no sólo le pondrá un paso por delante a la hora de cumplir con la normativa que se avecina, sino que también le ayudará a proteger mejor su organización, sus clientes y su información sensible en esta nueva economía digital.
Informe
Informe sobre el Reglamento Financiero Global de OneSpan
Descargue este informe de 2020 para estar al día de los últimos cambios normativos y legislativos en todo el mundo, en relación con la firma electrónica, la identidad digital, la ciberseguridad, etc.
Descargar ahoraEste artículo, escrito por Michael Magrath, Director de Reglamentos y Normas Globales de OneSpan, se publicó por primera vez en Revista de Seguridad el 30 de marzo de 2021.
